Имеется сертификат pfx, которым нужно подписать msi файл, вопрос -- подписи инсталлятора достаточно или
program.exe файл(ы) тоже желательно подписать? подпись program.exe в данном случае(подписанный инсталлятор) имеет смысл?
Кодом людям нужно помогать!
Re: sn, pfx: подписать интсаллятор (msi) и exe файл
Здравствуйте, Sharov, Вы писали:
S>Имеется сертификат pfx, которым нужно подписать msi файл, вопрос -- подписи инсталлятора достаточно или S>program.exe файл(ы) тоже желательно подписать? подпись program.exe в данном случае(подписанный инсталлятор) имеет смысл?
Подпись на любых исполнимых файлах безусловно важна (и в некотором смысле важнее инсталлятора), как и инсталлятора.
Хотя я лично — этот институт подписи вообще не приемлю, т.к. он решает ровно одну задачу — обогащение узкого круга лиц, при этом никак не управляет доверием.
Re: sn, pfx: подписать интсаллятор (msi) и exe файл
Здравствуйте, Sharov, Вы писали:
S>Здравствуйте.
S>Имеется сертификат pfx, которым нужно подписать msi файл, вопрос -- подписи инсталлятора достаточно или S>program.exe файл(ы) тоже желательно подписать? подпись program.exe в данном случае(подписанный инсталлятор) имеет смысл?
Я подписываю все что можно подписать (то есть и EXE и инсталлятор)
Здравствуйте, Mystic Artifact, Вы писали:
MA> Хотя я лично — этот институт подписи вообще не приемлю, т.к. он решает ровно одну задачу — обогащение узкого круга лиц, при этом никак не управляет доверием.
Почему не управляет? К подписанным прогам доверия намного больше. Всяко в жизни бывает, но подпись на malware не часто встретишь.
Если найдете откровенный malware с валидной подписью — будет интересно посмотреть.
Re[3]: sn, pfx: подписать интсаллятор (msi) и exe файл
Здравствуйте, Shmj, Вы писали:
S>Почему не управляет? К подписанным прогам доверия намного больше. Всяко в жизни бывает, но подпись на malware не часто встретишь.
Так софт ведет себя часто далеко не так как декларируется, и имеет подпись. Тебе это понравится: Google Chrome под видом доверия, приватности и защиты пользователей, сканирует их файлы и преследует исключительно свои интересы.
Кроме того внезапный отзыв "лицензии на право" (сертификата) — сказывается на пользователей. Прецеденты были.
Это и есть доверие — ты либо доверяешь, либо нет, и либо доверишься разработчику, и проигнорируешь сигналы от системы, либо нет. А подпись здесь — просто техническая преграда.
Это как https назвать "secure connection", но из этого сделать неверный вывод: далеко не всё что написано на bbc/whatever — правда.
S>Если найдете откровенный malware с валидной подписью — будет интересно посмотреть.
С откровенной гадостью я сталкивался 20 лет назад на линуксе/почтовом сервере/шлюзе. Вирус так был крут, что запорол саму возможность загрузиться, чем себя и выдал. Да и вообще, подпись меня волгует меньше всего на свете, пока дело не касается распространения, а не потребления.
Re[3]: sn, pfx: подписать интсаллятор (msi) и exe файл
Здравствуйте, Shmj, Вы писали:
S>Почему не управляет? К подписанным прогам доверия намного больше. Всяко в жизни бывает, но подпись на malware не часто встретишь.
Доверять можно только разработчику или мейнтейнеру. У них как правило есть официальные каналы распространения. Но если это свалка вроде Google Play и прочих магазинов, то всё опять сводится к тому, кто публикует приложение.
S>Если найдете откровенный malware с валидной подписью — будет интересно посмотреть.
А что там искать, набрать это в веб-поиске и находится полно примеров. Причём это не только на десктопах, но и на смартфонах. И дело здесь не только в том, что какую-то программу заражает сторонняя вредоносная программа. Сам разработчик может засунуть в программу вредоносный код и подписать. А чтобы нанести больше ущерба такие программы могут начать вредить не сразу, а по прошествии какого-то времени.